Implementieren von Anwendungssicherheitsgruppen

  • 4 Minuten

Sie können Anwendungssicherheitsgruppen in Ihrem virtuellen Azure-Netzwerk implementieren, um Ihre virtuellen Computer logisch nach Workload zu gruppieren. Anschließend können Sie Netzwerksicherheitsgruppenregeln basierend auf Ihren Anwendungssicherheitsgruppen definieren.

Wichtige Informationen zur Verwendung von Anwendungssicherheitsgruppen

Anwendungssicherheitsgruppen funktionieren auf die gleiche Weise wie Netzwerksicherheitsgruppen, bieten jedoch eine anwendungsbasierte Übersicht über Ihre Infrastruktur. Sie fügen Ihre virtuellen Computer einer Anwendungssicherheitsgruppe hinzu. Anschließend verwenden Sie die Anwendungssicherheitsgruppe als Quelle oder Ziel in den Regeln für Netzwerksicherheitsgruppen.

Sehen wir uns an, wie Sie Anwendungssicherheitsgruppen implementieren, indem Sie eine Konfiguration für einen Onlinehändler erstellen. Im Beispielszenario muss der Netzwerkdatenverkehr an virtuelle Computer in Anwendungssicherheitsgruppen gesteuert werden.

Diagram that shows how application security groups combine with network security groups to protect applications.

Anforderungen für das Szenario

Diese Anforderungen gelten für die Beispielkonfiguration:

  • Es gibt sechs virtuelle Computer in der Konfiguration, zwei davon sind Webserver, und zwei sind Datenbankserver.
  • Kunden greifen auf den Onlinekatalog zu, der auf den Webservern gehostet wird.
  • Die Webserver müssen über HTTP-Port 80 und HTTPS-Port 443 über das Internet zugänglich sein.
  • Bestandsinformationen werden auf unseren Datenbankservern gespeichert.
  • Die Datenbankserver müssen über den HTTPS-Port 1433 zugänglich sein.
  • Nur die Webserver sollten Zugriff auf die Datenbankserver haben.

Lösung

Für dieses Szenario muss die folgende Konfiguration erstellt werden:

  1. Erstellen Sie Anwendungssicherheitsgruppen für die virtuellen Computer.

    1. Erstellen Sie eine Anwendungssicherheitsgruppe namens WebASG, um die Webservercomputer zu gruppieren.

    2. Erstellen Sie eine Anwendungssicherheitsgruppe namens DBASG, um die Datenbankservercomputer zu gruppieren.

  2. Weisen Sie die Netzwerkschnittstellen für die virtuellen Computer zu.

    • Weisen Sie für jeden VM-Server die zugehörige NIC der entsprechenden Anwendungssicherheitsgruppe zu.

  3. Erstellen Sie die Netzwerksicherheitsgruppe und die Sicherheitsregeln.

    • Regel 1: Legen Sie die Priorität auf 100 fest. Lassen Sie den Zugriff über das Internet auf Computer in der WebASG-Gruppe über HTTP-Port 80 und HTTPS-Port 443 zu.

      Regel 1 hat den niedrigsten Prioritätswert und damit Vorrang vor den anderen Regeln in der Gruppe. Der Kundenzugriff auf den Onlinekatalog ist bei diesem Design von größter Bedeutung.

    • Regel 2: Legen Sie die Priorität auf 110 fest. Lassen Sie den Zugriff von Computern in der WebASG-Gruppe auf Computer in der DBASG-Gruppe über den HTTPS-Port 1433 zu.

    • Regel 3: Legen Sie die Priorität auf 120 fest. Verweigern (X) Sie jeglichen Zugriff auf Computer in der DBASG-Gruppe über den HTTPS-Port 1433.

      Die Kombination aus Regel 2 und Regel 3 stellt sicher, dass nur unsere Webserver auf unsere Datenbankserver zugreifen können. Diese Sicherheitskonfiguration schützt unsere Bestandsdatenbanken vor externen Angriffen.

Zu berücksichtigende Punkte bei der Verwendung von Anwendungssicherheitsgruppen

Die Implementierung von Anwendungssicherheitsgruppen in Ihren virtuellen Netzwerken hat mehrere Vorteile.

  • IP-Adressverwaltung: Wenn Sie den Netzwerkdatenverkehr mithilfe von Anwendungssicherheitsgruppen steuern, müssen Sie eingehenden und ausgehenden Datenverkehr nicht für bestimmte IP-Adressen konfigurieren. Wenn viele virtuelle Computer in Ihrer Konfiguration vorhanden sind, kann es schwierig sein, alle betroffenen IP-Adressen anzugeben. Auch die Anzahl der Server in einer bestehenden Konfiguration kann sich ändern. Diese Änderungen erfordern möglicherweise, dass Sie anpassen müssen, wie verschiedene IP-Adressen in Ihren Sicherheitsregeln unterstützt werden.

  • Keine Subnetze: Wenn Sie Ihre virtuellen Computer in Anwendungssicherheitsgruppen organisieren, müssen Sie Ihre Server nicht zusätzlich auf bestimmte Subnetze verteilen. Sie können Ihre Server nach Anwendung und Zweck anordnen, um logische Gruppierungen zu erzielen.

  • Vereinfachte Regeln: Mit Anwendungssicherheitsgruppen entfällt die Notwendigkeit, mehrere Regelsätze zu definieren. Sie müssen nicht für jede VM eine eigene Regel erstellen. Sie können neue Regeln dynamisch auf bestimmte Anwendungssicherheitsgruppen anwenden. Neue Sicherheitsregeln werden automatisch auf alle virtuellen Computer in der angegebenen Anwendungssicherheitsgruppe angewendet.

  • Workloadunterstützung: Eine Konfiguration, die Anwendungssicherheitsgruppen implementiert, ist einfach zu verwalten und nachzuvollziehen, da die Organisation auf der Workloadauslastung basiert. Anwendungssicherheitsgruppen ermöglichen die logische Anordnung Ihrer Anwendungen, Dienste, Datenspeicher und Workloads.